Ce qu’il faut retenir :
HTTP : transit d’informations en clair / HTTPS : connexion http dans un tunnel chiffré SSL/TLS
SSL : Secure Sockets Layer / TLS : Transport Layer Security.
Chiffrement : transforme les données en les rendant illisibles grâce à un algorithme chiffrement qui utilise une clé de chiffrement.
Cryptographie symétrique : 1 seule clé pour chiffrer et déchiffrer, problème : échange de clé, il faut un canal sécurisé pour échanger sa clé.
Cryptographie asymétrique : clé privée et clé publique, utilisateur chiffre avec 1ère et déchiffre avec 2ème et inversement. Clés liées mathématiquement. Utilisateurs utilisent clés publiques des autres qui déchiffrent avec la clé privée = confidentialité de l’échange. Problème : transmission clé publique : attaque du man in the middle, capable de lire informations entre les deux autres.
Pour éviter cela il faut certifier l’identité du porteur de clé : rôle du certificat : fichier avec un ensemble de données contenant une clé publique, infos sur la personne, infos sur le certificat et signature électronique d’une autorité de certification (garantie intégrité des infos).
Navigateurs possèdent des clés publiques d’organisations certifiées, déchiffre donc la communication et ensuite le client et le serveur se mettent d’accord sur une clé secrète commune qu’ils vont utilisés pour cette session d’ échange.